Un youtuber pierde 10.000 dólares en segundos para demostrarlo

Imagina la escena: tu iPhone, bloqueado y en tu bolsillo, autoriza un pago de miles de dólares sin que presiones un solo botón. No es ciencia ficción, es una demostración real que ha puesto en jaque la confianza en los pagos móviles. El famoso youtuber Marques Brownlee (MKBHD) fue el protagonista involuntario de un experimento dirigido por Veritasium, donde vieron desaparecer 10.000 dólares de su cuenta a través de Apple Pay, sin necesidad de Face ID, código de acceso ni ninguna interacción.

Este evento no destapa un nuevo "hackeo" al sistema operativo de Apple, sino que expone una grieta peligrosa en la comunicación entre los sistemas de pago. La vulnerabilidad reside en la combinación de una tarjeta Visa, la función "Modo Transporte Exprés" de Apple Pay y un hardware especializado capaz de interceptar y manipular señales NFC. Aunque el riesgo de que esto te suceda en la calle es bajo, la existencia del fallo desde 2021 sin una solución definitiva es motivo de gran preocupación.

El Engaño Maestro: Un Ataque 'Man-in-the-Middle'

El método, conocido como ataque de intermediario (man-in-the-middle), se ejecuta en varios pasos calculados para engañar tanto al teléfono como al terminal de pago. El proceso es el siguiente:

• Paso 1: Simular un Entorno Conocido. Los atacantes utilizan un dispositivo que emite una señal NFC, haciendo creer al iPhone que está interactuando con un torno de transporte público. Esto activa el "Modo Transporte Exprés", una función diseñada para agilizar el pago en metros o autobuses sin necesidad de autenticación.
• Paso 2: Manipular la Transacción. Una vez que el iPhone está en este modo de confianza, el sistema intermediario intercepta los datos de la transacción. Modifica un bit clave para que un pago de alto valor (como 10.000 dólares) sea interpretado por el iPhone como una transacción de bajo importe, la cual no requiere verificación adicional. El teléfono aprueba el pago, creyendo que es una operación trivial.
• Paso 3: Engañar al Terminal de Pago. Finalmente, el dispositivo atacante envía la información de la transacción al terminal de pago real, pero con el importe original y asegurándole que el usuario ya ha sido autenticado. El terminal de pago procesa la operación y el dinero es transferido.

¿Por Qué Ocurre Esto? La Culpa Apunta a Visa

Es crucial entender que la seguridad del iPhone no ha sido comprometida en su núcleo. El problema radica en el protocolo EMV (Europay, Mastercard y Visa) utilizado para los pagos sin contacto, y específicamente, en la implementación de Visa. La vulnerabilidad fue documentada por investigadores de las universidades de Birmingham y Surrey en 2021, quienes señalaron directamente a Visa.

El "Modo Transporte Exprés" funciona sin conexión y confía en la información que le proporciona el terminal. Si esa información es manipulada por un intermediario, el iPhone no tiene un mecanismo para detectar el engaño en tiempo real. Aunque este fallo también puede afectar a dispositivos Android con configuraciones similares, algunos fabricantes han implementado capas de seguridad adicionales que podrían detener un ataque de este tipo.

¿Debes Entrar en Pánico y Borrar tus Tarjetas?

La buena noticia es que para la mayoría de los usuarios, especialmente en países como España donde el "Modo Transporte Exprés" no está extendido, el riesgo es mínimo. Para que el ataque funcione, se requiere una combinación muy específica de factores:

1. El atacante necesita acceso físico y cercano a tu iPhone.
2. Debes tener una tarjeta Visa configurada en Modo Transporte Exprés.
3. El atacante necesita un hardware especializado y conocimientos técnicos avanzados.

La solución más simple y efectiva para quienes viven en regiones donde esta función está activa (como Londres o Nueva York) es desactivarla. Al hacerlo, cualquier pago requerirá obligatoriamente una autenticación biométrica (Face ID/Touch ID) o el código de acceso, eliminando por completo este vector de ataque. Mientras tanto, la industria espera una actualización por parte de Visa que cierre esta brecha de seguridad de una vez por todas, demostrando que la comodidad nunca debe anteponerse a la protección de nuestros activos financieros.